Vejledning til brug af Bank RA Revisionsinstruks 1-7
Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller relateret til anvendelse af it-systemer... 3 Bank RA s ansvar... 4 Nets DanID s ansvar... 4 Grundlag for RA Revisionsinstruksen... 4 Omfanget af RA Revisionsarbejdet... 4 Krav til intern revision og dens arbejde... 4 Hvad er typisk omfattet af RA revisionen?... 4 Hvornår kan Bank RA anvende eksisterende revisionserklæringer... 5 Ved brug af underleverandører... 5 Testhandling og efterprøvning... 5 Eksempler på testhandlinger og efterprøvninger... 6 Aflevering af revisionserklæring til Nets DanID... 6 Hvis erklæring indeholder forbehold eller bemærkninger... 7 2-7
Indledning Denne vejledning er til brug for Bank RA samt de interne og eksterne revisorer, der er involveret i afgivelse af revisionserklæringen vedrørende RA-opgaven jf. Bank RA Revisionsinstruksen. Formål Gennemførsel af revision af Bank RA-processer, -procedurer og -kontroller har til formål at validere at Nets DanID s udstukne krav for RA-opgaven bliver fulgt, herunder de sikkerhedsmæssige krav og forhold omkring persondatabeskyttelse. Dette omfatter bl.a. Efterlevelse af persondatalovgivning og GDPR RA-opgaven foretages ensartet, med høj kvalitet og i overensstemmelse med den indgåede RA aftale mellem Nets DanID og Bank RA, herunder: Korrekt legitimering og udstedelse af NemID Bank-RA medarbejdere har fået, og får løbende den fornødne træning i udførelse af RA-opgaven Beskyttelse af persondata i RA-opgaven i fysisk og elektronisk form Sikkerhed omkring brugeradgange Arkivering af data, fx logdata. Fysisk og logisk sikkerhed omkring det udstyr der benyttes til RA-opgaven Scope for RA-revisionen RA-opgaven for banker dækker alene de aktiviteter, processer og it-systemer, der benyttes i forbindelse med legitimering, udstedelse, samt spærring af NemID nøglekort og midlertidig adgangskode forbundet med udstedte NemID nøglekort, hvor bankerne enten benytter NemID portalen eller Nets DanID API. Særlige forhold for banker der benytter Nets DanID API et Der er flere af revisionskontrollerne, hvor der vil være skærpet krav, hvis bankerne benytter API-løsningen. I de tilfælde hvor API et benyttes og bankerne derfor bruger interne systemer til RA-opgaven, vil der potentielt være data relateret til RA-opgaven, som ligger lokalt i bankernes interne systemer, omfattende: Transaktions- og systemlog Registrering af brugeraktivitet i forhold til RA-opgaven Der er for flere af kontrolkravene defineret yderligere kontrolkrav, der har til formål at afdække lagring og behandling af disse data. Hvis bankerne benytter NemID portalen vil der ikke ligge i RA-opgaven, at data skal gemmes lokalt hos bankerne. Kontroller relateret til anvendelse af it-systemer I forbindelse med anvendelse af udstedelse af NemID nøglekort og den midlertidige adgangskode anvender Bank RA it-systemer, der også er omfattet af RA Revisionsinstruksen. De it-systemer, der er er omfattet af RA Revisionsinstruksen kan opdeles i systemer, der er stillet til rådighed af Nets DanID, og de systemer der er Bank RA s eget ansvar. 3-7
Bank RA s ansvar RA skal i RA Revisionsinstruksen udelukkende foretage revisionshandlinger i forhold til de it-systemer, hvor RA har ansvaret. Nets DanID s ansvar RA-Portalen eller NemID portalen der anvendes til legitimering af ansøger og behandling af NemID udstedelse herunder den midlertidige adgangskode er Nets DanID s ansvar. RA skal derfor ikke foretage revisionshandlinger i forhold til den i NemID portalen indbyggede sikkerhed eller Nets DanID s organisation og processer, der understøtter NemID portalens drift og vedligeholdelse. Grundlag for RA Revisionsinstruksen Grundlaget for RA Revisionsinstruksen er de krav, der fremgår af: POCES certifikatpolitikken: https://www.nemid.nu/dk-da/om-nemid/historien_om_nemid/ocesstandarden/oces-certifikatpolitikker/ RA-aftalen og Bilag til RA-aftalen for Banker Bank RA Revisionsinstruks RA-aftalens Allonge 2 - Data Processing Agreement Omfanget af RA Revisionsarbejdet Såfremt revisionen foretages af en ekstern revisor skal resultatet af revisors arbejde rapporteres i form af en ISAE3000 type 2 erklæring. For interne revisorer i banker skal rapportering ske i overensstemmelse med Finanstilsynets bekendtgørelser herom. I de tilfælde hvor en kontrol ikke udføres eller, hvor revisionshandlingen ikke kan udføres som beskrevet i kolonnen Revisionshandling, skal revisor i kolonnen Resultat af revisionshandlinger begrunde, hvorfor revisionshandlingen ikke er udført. Såfremt der eksisterer andre kontroller eller kompenserende kontroller, skal dette anføres i kolonnen Resultat af revisionshandlinger. Krav til intern revision og dens arbejde For at Nets DanID og deres revisor kan basere sig på arbejde udført af intern revision i banker skal den interne revision opfylde kravene i Finanstilsynets bekendtgørelser om den interne revisionsfunktion. Hvad er typisk omfattet af RA revisionen? De it-systemer, processer og lokationer normalt vil være omfattet af RA s revisionen vil typiske omfatte: De fysiske lokationer hvor RA-opgaven foretages Arbejdsstationer, der af RA der anvendes af RA-medarbejderes til at udføre RA-opgaven, såsom bærbare og stationære computere. Fysiske steder (aflåste skabe, arkiver, m.fl.) hvor der foretages fysisk opbevaring af nøglekort og evt. også vitterlighedsvidneerklæringer eller fuldmagter. ESDH systemer, hvis der foretages registrering, eller der i disse gemmes kopier af dokumentation forelagt i forbindelse med Bank RA s behandlinger, fx afslag på ansøgninger. 4-7
Interne systemer der registrerer godkendelser og indeholder oversigt over oprettelser, ændringer og nedlæggelser af Bank RA s brugere. Systemer der gemmer transaktioner, hændelses- og brugerlogs fra RA behandlinger. Dette vil primært være relevant i de tilfælde hvor bankerne benytter API løsningen. Hvornår kan Bank RA anvende eksisterende revisionserklæringer Bank RA kan anvende bankens eksisterende revisionsdokumentation, herunder ISAE3000/ISAE3402 type 2 eller en ISRS4400 aftalte arbejdshandlinger, såfremt at disse kan vise, at Bank RA har etableret effektive kontroller i hele erklæringsperioden, der relaterer sig til de relevante krav i RA Revisionsinstruksen. Ved brug af underleverandører I de tilfælde hvor en it-service leverandør varetager hele elle dele af driften, af de it-systemer Bank RA selv har ansvar for, er Bank RA ansvarlig for at indhente revisionsdokumentation, der viser, at it-serviceleverandøren har etableret effektive kontroller i hele erklæringsperioden, der relaterer sig til de relevante krav i RA Revisionsinstruksen. Revisionsdokumentationen kan være i form af en revisionserklæring ISAE3000/ISAE3402 type 2 eller en ISRS4400 Aftalte arbejdshandlinger. Både ISAE3000/ISAE3402 erklæringen eller ISRS4400 Rapport om resultat af aftalte arbejdshandlinger skal være underskrevet af en Godkendt Revisor. Testhandling og efterprøvning De udførte testhandlinger bør omfatte en blanding af nedenstående testhandlinger. Det skal bemærkes, at test alene ved forespørgsel ikke er tilstrækkelig til at give den fornødne grad af sikkerhed for revisors konklusion. Inspektion Gennemlæsning af procedurer/forretningsgange og/eller opsætning af systemer. Dette omfatter bl.a. stillingtagen til, om specifikke procedurer/forretningsgange er designet, så de kan forventes at blive effektive, hvis de implementeres. På de tekniske platforme, databaser og netværkskomponenter kan det påses, at disse er opsat tilfredsstillende. For mange pengeinstitutter vil dette sandsynligvis allerede være bekræftet i de ISAE 3402-erklæringer, der modtages fra fælles datacentraler. Forespørgsler Observation Forespørgsel af passende personale. Forespørgsler omfatter, hvordan procedurer/forretningsgange er designet og implementeret. Observation af udførelse af procedurer/forretningsgange ved overvågning af faktisk udførelse. Er en af de handlinger, der er relevante, i relation til bekræftelse af at implementering har fundet sted. 5-7
Genudførelse af kontrollen Gentagelse af den relevante procedure/forretningsgang og vurdering af, om resultatet er som forventet. Er en af de handlinger, der er relevante i relation til bekræftelse af at implementering har fundet sted. Eksempler på testhandlinger og efterprøvninger Nedestående er et eksempel på kontroller og dertilhørende vejledninger til revision af disse. Kontrol Vejledning Der er implementeret en procedure/forretningsgang hos Bank RA med henblik på at rende krav om overholdelse af Bank RA-medarbejde- Kontroller proceduren/forretningsgangen vedrø- sikre, at Bank RA-personale, som er autoriseret til at behandle persondata, er underlagt ved at gennemgå denne procedure/forretningsgang res fortrolighed i forhold til behandling af persondata krav om fortrolighed. for om proceduren er implementeret hos Bank RA, og at denne procedurer sikrer at Bank RA-medarbejdere bliver underlagt fortrolighed inden personalet autoriseres til at behandle persondata. RA skal kontrollere, at ledere og medarbejdere, der udfører betroede opgaver i eller for CA, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. Kontroller for et udvalg af Bank RA-medarbejdere, at de har underskrevet en fortrolighedsaftale/erklæring vedrørende persondata. Kontrol af hvorvidt en medarbejder ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv med udstedelse af NemID foretages ved fremvisning af straffeattest eller tilsvarende dokumentation, såfremt at medarbejderen ikke befinder sig i Danmark. Nets DanID stiller ikke krav om, at straffeattesten opbevares. Bank RA skal på anmodning fra Nets DanID fremlægge dokumentation for, hvilke konkrete procedurer og legitimationsbeviser der har ligget til grund for Bank RA s legitimering af bruger, jf. bankaftalen. Bank RA har implementeret tekniske og organisatoriske sikringsforanstaltninger, med henblik på at forhindre at persondata: ved uheld eller skadeshensigt ødelægges, tabes eller ændres gøres tilgængelige uden godkendelse behandles i modstrid med love og reguleringer, herunder GDPR-reguleringen. Forespørg udvalgte RA-medarbejder omkring kravene til verifikation af kundens identitet, for at validere at de kender til legitimationskravene og de kan fremfinde dem på forespørgsel. Observer, at der er etableret en organisation, der understøtter, at kun godkendte medarbejdere kan få en adgangsbetinget adgang til systemer og data, der anvendes til udstedelse af OCES-certifikater. Aflevering af revisionserklæring til Nets DanID Bank RA skal anvende følgende skabeloner ved indsendelse af erklæringer: Ledelseserklæring Revisionserklæring fra intern revision vedr. RA-aftale Revisionserklæring fra ekstern revision vedr. RA-aftale 6-7
Skabelonerne er tilgængelige på NemID RA-Univers. Hvis erklæring indeholder forbehold eller bemærkninger Bank RA skal indsende udfyldt Ledelses- og Revisionserklæring til Nets DanID senest d. 15. december til esec-nemid-bank-audit@nets.eu Såfremt Ledelses- og Revisionserklæring indeholder bemærkninger eller forbehold, anbefaler Nets DanID, at Bank RA medsender en plan til Nets DanID for, hvordan og hvornår disse planlægges udbedret. 7-7